2.2 KiB
2.2 KiB
Plan de Acción: Asegurar Application Services
Objetivo: Proteger los AppServices que se exponen como endpoints de API y que actualmente carecen de los controles de autorización adecuados.
-
EmailTemplateAppService:- Problema: Permite operaciones CRUD sobre plantillas de correo sin autorización.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase para asegurar que solo usuarios autenticados puedan gestionar las plantillas.
-
IntegrationAppService:- Problema: Expone métodos para gestionar integraciones sin la debida autorización, aunque ya cuenta con métodos anónimos para el flujo de SAML.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase. Los métodos marcados con[AbpAllowAnonymous]conservarán su acceso público, mientras que el resto de los endpoints quedarán protegidos.
-
CaptivePortalAppService:- Problema: Permite la gestión de portales cautivos (CRUD) sin requerir permisos específicos.
- Solución Propuesta: Añadir
[AbpAuthorize(PermissionNames.Pages_CP)]a la clase, utilizando el permiso ya existente para la gestión de portales cautivos.
-
ScheduledEmailAppService:- Problema: Permite la creación y gestión de correos programados sin autorización.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase para restringir el acceso a usuarios autenticados.
-
SessionAppService:- Problema: Expone información de la sesión del usuario, lo cual no debería ser público.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase para proteger la información de la sesión.
-
SplashWifiConnectionReportAppService:- Problema: Proporciona acceso a reportes de conexiones WiFi sin requerir autenticación.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase para asegurar que solo usuarios autenticados puedan acceder a los reportes.
-
SplashWifiScanningReportAppService:- Problema: Ofrece reportes de escaneo de WiFi sin protección.
- Solución Propuesta: Añadir
[AbpAuthorize]a la clase para proteger el acceso a estos reportes.
No se tomará ninguna acción hasta que se apruebe este plan.